ThreeDHead Posted January 22, 2013 · Report post Есть сотня записей IP+PORT (это абоненты в локалке), есть некое количество внешних сетей IP/MASK Нужно выбрать пакеты из внешних сетей IP/MASK на локальные IP+PORT Проблема в том, что надо это все сделать за один проход. Вот пример фильтра, как это сделать для одного локального IP+PORT: filter-primitive abonent-port type ip-port permit 12345 default deny filter-primitive abonent-ip type ip-address permit 10.1.2.3 default deny filter-primitive only-selected-inet-nets type ip-address-prefix permit 1.1.0.0/16 permit 2.2.0.0/16 permit 3.3.0.0/16 default deny filter-definition from-inet-to-local match ip-destination-address abonent-ip match ip-destination-port abonent-port match ip-source-address only-selected-inet-nets А для всех сразу как? Share this post Link to post Share on other sites
agr Posted January 22, 2013 · Report post для каждого абонента сделайте два filter-primitive и лепите в filter-definition через слово or дополнительные условия. и IP и PORT строго уникальны? не может быть одного PORT с несколькими IP? Если может, то можно не на каждого абонента примитивы делать, а саггрегировать по портам. Share this post Link to post Share on other sites
ThreeDHead Posted January 23, 2013 · Report post для каждого абонента сделайте два filter-primitive и лепите в filter-definition через слово or дополнительные условия. и IP и PORT строго уникальны? не может быть одного PORT с несколькими IP? Если может, то можно не на каждого абонента примитивы делать, а саггрегировать по портам. Порты у локальных IP могут пересекаться, но не факт. Сделали такое решение - опускаем порт вообще и фильтруем по фильтру "Сети->IP", а потом "тупым" перебором отсеиваем все IP, у которых не совпадает связка IP+PORT, ибо этих связок не более тысячи и скрипт обрабатывает их с легкостью. Share this post Link to post Share on other sites
